項(xiàng)目辦公室2007年6月SOX404實(shí)施方法與流程介紹項(xiàng)目辦公室SOX404實(shí)施方法與流程介紹提綱概述公司層面測試IT層面測試業(yè)務(wù)流程層面測試提綱概述2概述概述404測試的目的、價(jià)值和局限性目的對與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)控有效性做出評估，滿足上市監(jiān)管要求價(jià)值保障財(cái)務(wù)報(bào)表的合理性和準(zhǔn)確性明確與財(cái)務(wù)報(bào)告相關(guān)的風(fēng)險(xiǎn)發(fā)現(xiàn)內(nèi)部控制薄弱點(diǎn)，促進(jìn)健全內(nèi)控體系建立內(nèi)控評估的規(guī)范程序和方法局限性外部審計(jì)師眼中的“內(nèi)部控制”僅關(guān)注與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制和風(fēng)險(xiǎn)404測試的目的、價(jià)值和局限性目的4內(nèi)部控制的定義：企業(yè)的董事會(huì)、管理層和其他有關(guān)人員為了能更有效達(dá)到企業(yè)目標(biāo)而設(shè)計(jì)的程序；企業(yè)目標(biāo)主要分為三類：運(yùn)營的效益財(cái)務(wù)報(bào)告的可靠性有關(guān)法律法規(guī)的符合性5個(gè)要素:控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督參照美國注冊會(huì)計(jì)師協(xié)會(huì)審計(jì)標(biāo)準(zhǔn)AU319,

內(nèi)部審計(jì)的定義(第十三段)404節(jié)要求之外的內(nèi)部審計(jì)由薩班斯法案404節(jié)引起的對內(nèi)部審計(jì)的關(guān)注合規(guī)性運(yùn)營財(cái)務(wù)報(bào)告職能機(jī)構(gòu)控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督薩班斯法案404節(jié)所關(guān)注的內(nèi)控范圍COSO內(nèi)控框架選定COSO內(nèi)控框架為評價(jià)框架！404測試思路內(nèi)部控制的定義：5個(gè)要素:參照美國注冊會(huì)計(jì)師協(xié)會(huì)審計(jì)標(biāo)準(zhǔn)AU5404測試思路COSO框架公司層面測試業(yè)務(wù)流程層面測試IT基礎(chǔ)層面測試“測試流程”（下一頁）404測試依據(jù)COSO框架（1992），分公司層面、業(yè)務(wù)層面和IT層面進(jìn)行測試，覆蓋COSO框架的五要素404測試思路COSO公司層面測試6流程圖設(shè)計(jì)測試內(nèi)容實(shí)施測試風(fēng)險(xiǎn)、控制矩陣穿行測試（制度設(shè)計(jì)測試）實(shí)質(zhì)性測試（制度執(zhí)行測試）評估報(bào)告內(nèi)控缺陷嚴(yán)重程度評估管理層關(guān)于財(cái)務(wù)報(bào)告內(nèi)部控制的評估報(bào)告審計(jì)師測試、審核獨(dú)立測試后，對管理層評估報(bào)告發(fā)表審核意見404小組（管理層）外部審計(jì)師404測試流程流程圖設(shè)計(jì)測試內(nèi)容實(shí)施測試風(fēng)險(xiǎn)、控制矩陣7公司層面和IT層面測試公司層面和IT層面測試公司層面測試根據(jù)COSO的控制框架，將相應(yīng)控制5要素分解成13個(gè)控制流程基本完成了公司層面的符合性測試和關(guān)鍵控制點(diǎn)的執(zhí)行有效性測試公司層面測試根據(jù)COSO的控制框架，將相應(yīng)控制5要素分解成19IT層面測試測試領(lǐng)域公司層面的IT控制、IT一般控制（包括開發(fā)、變更、運(yùn)行維護(hù)、訪問安全、電子表格計(jì)算）、IT應(yīng)用控制；控制點(diǎn)數(shù)量：1142關(guān)鍵對象

2套應(yīng)用系統(tǒng)（ORACLE、MAXIMO）、3套操作系統(tǒng)（Solaris\winNT\win2000server）、1套數(shù)據(jù)庫（ORACLE）以及安全管理體系（NOKIA防火墻、CISCO路由器）等測試頻率3輪設(shè)計(jì)有效性及執(zhí)行有效性測試文檔記錄包括各家機(jī)構(gòu)的測試策略、流程描述、RCM、TOC、缺陷清單、測試證據(jù)等。IT層面測試測試領(lǐng)域10SOX404業(yè)務(wù)流程層面測試SOX404業(yè)務(wù)流程層面測試實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)12內(nèi)部控制的定義：企業(yè)的董事會(huì)、管理層和其他有關(guān)人員為了能更有效達(dá)到企業(yè)目標(biāo)而設(shè)計(jì)的程序；企業(yè)目標(biāo)主要分為三類：運(yùn)營的效益財(cái)務(wù)報(bào)告的可靠性有關(guān)法律法規(guī)的符合性5個(gè)要素:控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督參照美國注冊會(huì)計(jì)師協(xié)會(huì)審計(jì)標(biāo)準(zhǔn)AU319,

內(nèi)部審計(jì)的定義(第十三段)404節(jié)要求之外的內(nèi)部審計(jì)由薩班斯法案404節(jié)引起的對內(nèi)部審計(jì)的關(guān)注合規(guī)性運(yùn)營財(cái)務(wù)報(bào)告職能機(jī)構(gòu)控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督薩班斯法案404節(jié)所關(guān)注的內(nèi)控范圍COSO內(nèi)控框架選定COSO內(nèi)控框架為評價(jià)框架！確定內(nèi)控框架內(nèi)部控制的定義：5個(gè)要素:參照美國注冊會(huì)計(jì)師協(xié)會(huì)審計(jì)標(biāo)準(zhǔn)AU13業(yè)務(wù)流程控制中海油內(nèi)控框架公司整體控制IT管理控制合規(guī)性運(yùn)營財(cái)務(wù)報(bào)告職能機(jī)構(gòu)控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督COSO內(nèi)控框架結(jié)合COSO框架及公司內(nèi)控實(shí)際，建立中海油的內(nèi)控框架

財(cái)務(wù)部制度銷售部制度人力部制度預(yù)算規(guī)劃……404前確定內(nèi)控框架業(yè)務(wù)流程控制中海油內(nèi)控框架公司IT管理控制合規(guī)性運(yùn)營財(cái)務(wù)報(bào)告14實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)15關(guān)鍵科目關(guān)鍵流程財(cái)務(wù)報(bào)告重要地區(qū)金額(利潤5%)性質(zhì)重要總資產(chǎn)總收入稅前利潤重要流程20個(gè)子流程105個(gè)重要科目80項(xiàng)重要地區(qū)14個(gè)財(cái)務(wù)報(bào)表及附注按金額進(jìn)行判斷報(bào)告層面:RMB22億元(折2.8億美元）科目層面:RMB11億元(折1.4億美元）選定實(shí)施范圍通過“重要性水平”確定重要業(yè)務(wù)流程關(guān)鍵科目關(guān)鍵流程財(cái)務(wù)報(bào)告重要地區(qū)金額(利潤5%)總資產(chǎn)重要流16測試范圍：總資產(chǎn)的97%，收入的100%部分測試全面測試404范圍外選定實(shí)施范圍通過“重要性水平”確認(rèn)實(shí)施范圍和關(guān)注重點(diǎn)測試范圍：總資產(chǎn)的97%，收入的100%部分測試全面測試4017實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)18控制目標(biāo)應(yīng)付賬款的完整性風(fēng)險(xiǎn)交易漏記低估負(fù)債控制活動(dòng)（指引+實(shí)際）采購訂單連續(xù)編號發(fā)票暫估入帳測試方法抽樣檢查梳理和記錄流程以風(fēng)險(xiǎn)為導(dǎo)向結(jié)合現(xiàn)有的內(nèi)控，整理和記錄內(nèi)控文檔控制矩陣流程圖通過測試和流程負(fù)責(zé)人簽字確認(rèn)，保證記錄的有效性對照控制要求，評估是否存在內(nèi)控設(shè)計(jì)上的缺陷400多個(gè)風(fēng)險(xiǎn)點(diǎn)、150個(gè)流程、4325個(gè)控制點(diǎn)(2867個(gè)關(guān)鍵控制點(diǎn))的逐一進(jìn)行符合測試6次版本的更新和修定第一次形成了公司統(tǒng)一、可復(fù)制(包括海外)的風(fēng)險(xiǎn)控制模板控制目標(biāo)應(yīng)付賬款的完整性風(fēng)險(xiǎn)交易漏記控制活動(dòng)（指引+實(shí)際）采19SOX-404-實(shí)施介紹課件20風(fēng)險(xiǎn)、控制矩陣（RiskControlMatrix)流程名稱控制目標(biāo)風(fēng)險(xiǎn)因素實(shí)際控制測試結(jié)論HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.1公司《信用風(fēng)險(xiǎn)管理規(guī)定》對客戶及其信用管理做了規(guī)定，包括批準(zhǔn)新客戶、信用風(fēng)險(xiǎn)監(jiān)控和應(yīng)收款項(xiàng)跟蹤等的程序。有效HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.2資金融資部風(fēng)險(xiǎn)控制崗審查新增客戶的信用風(fēng)險(xiǎn)。有效HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.3公司CFO審批新增的非信用客戶名單。有效風(fēng)險(xiǎn)、控制矩陣（RiskControlMatrix)流程21實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)22選擇關(guān)鍵控制點(diǎn)編制測試步驟發(fā)現(xiàn)與溝通控制測試制定測試策略和方法缺陷評估及報(bào)告依據(jù)PCAOB2號審計(jì)準(zhǔn)則控制有效性測試制定缺陷整改辦法，明確相應(yīng)職責(zé)2867個(gè)關(guān)鍵點(diǎn)，40000多個(gè)樣本的抽取和測試選擇關(guān)編制測發(fā)現(xiàn)控制制定測試策略缺陷評依據(jù)PCAOB2號審計(jì)23測試的兩個(gè)階段關(guān)注執(zhí)行有效性關(guān)注設(shè)計(jì)有效性12關(guān)鍵控制點(diǎn)隨機(jī)選取一個(gè)樣本12符合性測試12實(shí)質(zhì)性測試開始結(jié)束控制點(diǎn)A控制點(diǎn)B流程關(guān)鍵控制點(diǎn)Ⅰ關(guān)鍵控制點(diǎn)Ⅱ關(guān)鍵控制點(diǎn)Ⅲ流程測試的兩個(gè)階段關(guān)注執(zhí)行有效性關(guān)注設(shè)計(jì)有效性12關(guān)鍵控制點(diǎn)隨機(jī)24流程圖流程圖25風(fēng)險(xiǎn)、控制矩陣（RiskControlMatrix)流程名稱控制目標(biāo)風(fēng)險(xiǎn)因素實(shí)際控制測試結(jié)論HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.1公司《信用風(fēng)險(xiǎn)管理規(guī)定》對客戶及其信用管理做了規(guī)定，包括批準(zhǔn)新客戶、信用風(fēng)險(xiǎn)監(jiān)控和應(yīng)收款項(xiàng)跟蹤等的程序。有效HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.2資金融資部風(fēng)險(xiǎn)控制崗審查新增客戶的信用風(fēng)險(xiǎn)。有效HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.3公司CFO審批新增的非信用客戶名單。有效風(fēng)險(xiǎn)、控制矩陣（RiskControlMatrix)流程26穿行測試（Walkthrough）Location北京SignificantProcessHQ_C1銷售及應(yīng)收款項(xiàng)Sub-processHQ_C1.1A客戶數(shù)據(jù)庫與信用管理Sub-processOwner銷售部總經(jīng)理鄭保國資金融資部風(fēng)險(xiǎn)控制崗經(jīng)理劉俊俠資金融資部總經(jīng)理黃曉峰風(fēng)險(xiǎn)聯(lián)席會(huì)Soxteammember張曉鋒FlowchartreferenceHQ_C1.1A客戶數(shù)據(jù)庫與信用管理StartPoint銷售部原油崗與客戶確定購買意向EndPointCFO/風(fēng)險(xiǎn)聯(lián)席會(huì)根據(jù)權(quán)限審批超額度的信用交易TransactionDetails《信用風(fēng)險(xiǎn)管理規(guī)定》<HQ_C1.1a_101>銷售部新增客戶申請<HQ_C1.1a_102>資金部風(fēng)險(xiǎn)崗關(guān)于增加客戶的請示<HQ_C1.1a_103>風(fēng)險(xiǎn)聯(lián)席會(huì)會(huì)議紀(jì)要<HQ_C1.1a_104>資金部風(fēng)險(xiǎn)崗關(guān)于新加坡信用證的請示<HQ_C1.1a_105>客戶信用監(jiān)控明細(xì)表（客戶授信額度使用情況表）<HQ_C1.1a_106>客戶超額度報(bào)批郵件<HQ_C1.1a_107>Controlswalked-throughIndicatewhethercontrolisconsideredeffectiveorineffective.Describetheevidencesupportingtheassessmentmade.HQ_C1.1A.1有效公司《信用風(fēng)險(xiǎn)管理規(guī)定》對客戶及其信用管理做了規(guī)定，包括批準(zhǔn)新客戶、信用風(fēng)險(xiǎn)監(jiān)控和應(yīng)收款項(xiàng)跟蹤等的程序。<HQ_C1.1a_101>穿行測試（Walkthrough）Location北京Sig27實(shí)質(zhì)性測試－控制測試

（TestofControl)測試所需文檔：資金部增加客戶的請示（有審核客戶信用的描述，有CFO的審批痕跡）客戶信用監(jiān)控明細(xì)表抽樣方法：HQ_C1.1a.2新增原油客戶6個(gè)，抽取2個(gè)樣本測試步驟HQ_C1.1a.2詢問資金部風(fēng)險(xiǎn)控制崗對于新增客戶信用風(fēng)險(xiǎn)審查的具體內(nèi)容，并重新執(zhí)行測試結(jié)論(有效/待改進(jìn)）：HQ_C1.1a.2有效詳細(xì)測試記錄

新增客戶HQ_C1.1a.2

審查內(nèi)容

客戶財(cái)務(wù)指標(biāo)是否正常交易付款方式能否規(guī)避收款風(fēng)險(xiǎn)

中捷石化√√

廣西東油瀝青√√實(shí)質(zhì)性測試－控制測試

（TestofControl)測試28截止3月28日，管理層基于2006年財(cái)務(wù)報(bào)告內(nèi)控的報(bào)告已經(jīng)基本完成，在我們測試過程中沒有發(fā)現(xiàn)任何的實(shí)質(zhì)性漏洞。審計(jì)師也未發(fā)現(xiàn)任何的實(shí)質(zhì)性漏洞在測試中我們發(fā)現(xiàn)了2個(gè)重大缺陷，分別是：期權(quán)管理和海外財(cái)務(wù)管理。測度進(jìn)度及結(jié)果截止3月28日，管理層基于2006年財(cái)務(wù)報(bào)告內(nèi)控的報(bào)告已經(jīng)基29公司層面發(fā)現(xiàn)一般控制缺陷3個(gè)，我們已經(jīng)對這3個(gè)控制缺陷進(jìn)行評估，即這些缺陷未對財(cái)務(wù)報(bào)告造成重大影響。編號流程名控制點(diǎn)其中：關(guān)鍵控制點(diǎn)控制環(huán)境控制活動(dòng)風(fēng)險(xiǎn)評估信息與溝通監(jiān)督A員工行為守則126■■■□

1■B反舞弊程序93■■C人力資源程序222■■D風(fēng)險(xiǎn)識別、評估與管理71■E經(jīng)營計(jì)劃與經(jīng)營風(fēng)險(xiǎn)41■F內(nèi)部審計(jì)132■G董事會(huì)及審計(jì)委員會(huì)10■H管理層基調(diào)與態(tài)度71■■■I公司政策與流程52■J控制活動(dòng)92■■■K信息與溝通61■L財(cái)務(wù)風(fēng)險(xiǎn)評估223■■■MIT控制7410■■□

1■□

1■■合計(jì)20034■有效□缺陷

重大缺陷◆實(shí)質(zhì)性漏洞測度進(jìn)度及結(jié)果公司層面編號流程名控制點(diǎn)其中：控制控制風(fēng)險(xiǎn)信息監(jiān)督A員工行為30業(yè)務(wù)流程發(fā)現(xiàn)一般控制缺陷3個(gè)，重大缺陷2個(gè)。管理層已經(jīng)對這5個(gè)缺陷進(jìn)行評估，即所有缺陷未對財(cái)務(wù)報(bào)告造成實(shí)質(zhì)性影響。單位流程子流程風(fēng)險(xiǎn)點(diǎn)控制點(diǎn)符合性測試關(guān)鍵控制點(diǎn)TOC有效數(shù)目有效率實(shí)質(zhì)性漏洞重大缺陷缺陷總部188033076669342239338999%022天津1253194651616433297297100%000湛江1254199682644437342342100%000深圳1253186425394272206206100%000香港26173633252424100%000新加坡413325957414040100%000NWS2261515141414100%000印尼146818035335325925925899%001合計(jì)18

29872805190315751570100%023測度進(jìn)度及結(jié)果業(yè)務(wù)流程單位流程子流程風(fēng)險(xiǎn)點(diǎn)控制點(diǎn)符合性測試關(guān)鍵控制點(diǎn)TOC31IT一般控制發(fā)現(xiàn)一般控制缺陷7個(gè)。管理層已經(jīng)對這7個(gè)缺陷進(jìn)行評估，即這些缺陷未對財(cái)務(wù)報(bào)告造成重大影響。公司

名稱主流程

數(shù)目子流程

數(shù)目控制點(diǎn)

數(shù)目符合性測試關(guān)鍵控制點(diǎn)TOC有效數(shù)目有效率實(shí)質(zhì)性漏洞重大缺陷缺陷總部54824722121318718096%007天津569356302288294294100%000深圳535178145140122122100%000湛江571361285293277277100%000印尼5298989898989100%000合計(jì)5114295393488087399%007測度進(jìn)度及結(jié)果IT一般控制公司

名稱主流程

數(shù)目子流程

數(shù)目控制點(diǎn)

數(shù)目符32實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)33內(nèi)控缺陷評價(jià)與整改識別與確認(rèn)內(nèi)控缺陷缺陷影響評估日常評估年終評估整改的責(zé)任與跟蹤整改責(zé)任人：整改任務(wù)書404測試人員：跟蹤整改進(jìn)展進(jìn)行重新測試缺陷的報(bào)告與披露內(nèi)控缺陷評價(jià)與整改識別與確認(rèn)內(nèi)控缺陷34缺陷整改情況注：2006年測試中，公司共確認(rèn)812個(gè)內(nèi)控缺陷，問題797已整改完畢，剩余問題正在實(shí)施改進(jìn)計(jì)劃中。管理層已經(jīng)對這些未整改的缺陷進(jìn)行評估，未對財(cái)務(wù)報(bào)告造成實(shí)質(zhì)性影響。梳理公司內(nèi)控體系，推進(jìn)公司內(nèi)控制度的完善缺陷整改情況注：2006年測試中，公司共確認(rèn)812個(gè)內(nèi)控缺陷35實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)36編制內(nèi)控報(bào)告完成自下而上的內(nèi)控報(bào)告CEO、CFO各分公司總經(jīng)理各業(yè)務(wù)流程負(fù)責(zé)人報(bào)告已經(jīng)完成機(jī)關(guān)各業(yè)務(wù)流程負(fù)責(zé)完成測試結(jié)果確認(rèn)編制內(nèi)控報(bào)告完成自下而上的內(nèi)控報(bào)告CEO、CFO各分公司總經(jīng)37編制內(nèi)控報(bào)告分公司：xxx負(fù)責(zé)人：xxx文件簽署日期：200x年x月x日管理層對內(nèi)部控制有效性的評估結(jié)果：有效關(guān)于財(cái)務(wù)報(bào)告內(nèi)部控制的自我評估報(bào)告建立并維持適當(dāng)?shù)呢?cái)務(wù)報(bào)告內(nèi)部控制系統(tǒng)是本公司管理層的責(zé)任。財(cái)務(wù)報(bào)告內(nèi)部控制程序的設(shè)計(jì)，為財(cái)務(wù)報(bào)告的可靠性及按公認(rèn)會(huì)計(jì)準(zhǔn)則對外編制財(cái)務(wù)報(bào)告提供了合理的保證。由于內(nèi)部控制固有的局限性，財(cái)務(wù)報(bào)告的內(nèi)部控制也許無法預(yù)防或發(fā)現(xiàn)錯(cuò)報(bào)的發(fā)生。管理層已經(jīng)對本公司截至200x年x月x日財(cái)務(wù)報(bào)告內(nèi)部控制的有效性進(jìn)行了評估。該評估是按照美國COSO委員會(huì)在《內(nèi)部控制－整體框架》中設(shè)定的標(biāo)準(zhǔn)進(jìn)行的。在此評估基礎(chǔ)上，管理層認(rèn)定截至200x年x月x日，本公司財(cái)務(wù)報(bào)告的內(nèi)部控制是有效的。本公司于200x年第x季度未發(fā)生產(chǎn)生或可能產(chǎn)生重大影響的財(cái)務(wù)報(bào)告內(nèi)部控制變化。編制內(nèi)控報(bào)告分公司：xxx38謝謝!謝謝!39項(xiàng)目辦公室2007年6月SOX404實(shí)施方法與流程介紹項(xiàng)目辦公室SOX404實(shí)施方法與流程介紹提綱概述公司層面測試IT層面測試業(yè)務(wù)流程層面測試提綱概述41概述概述404測試的目的、價(jià)值和局限性目的對與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)控有效性做出評估，滿足上市監(jiān)管要求價(jià)值保障財(cái)務(wù)報(bào)表的合理性和準(zhǔn)確性明確與財(cái)務(wù)報(bào)告相關(guān)的風(fēng)險(xiǎn)發(fā)現(xiàn)內(nèi)部控制薄弱點(diǎn)，促進(jìn)健全內(nèi)控體系建立內(nèi)控評估的規(guī)范程序和方法局限性外部審計(jì)師眼中的“內(nèi)部控制”僅關(guān)注與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制和風(fēng)險(xiǎn)404測試的目的、價(jià)值和局限性目的43內(nèi)部控制的定義：企業(yè)的董事會(huì)、管理層和其他有關(guān)人員為了能更有效達(dá)到企業(yè)目標(biāo)而設(shè)計(jì)的程序；企業(yè)目標(biāo)主要分為三類：運(yùn)營的效益財(cái)務(wù)報(bào)告的可靠性有關(guān)法律法規(guī)的符合性5個(gè)要素:控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督參照美國注冊會(huì)計(jì)師協(xié)會(huì)審計(jì)標(biāo)準(zhǔn)AU319,

內(nèi)部審計(jì)的定義(第十三段)404節(jié)要求之外的內(nèi)部審計(jì)由薩班斯法案404節(jié)引起的對內(nèi)部審計(jì)的關(guān)注合規(guī)性運(yùn)營財(cái)務(wù)報(bào)告職能機(jī)構(gòu)控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督薩班斯法案404節(jié)所關(guān)注的內(nèi)控范圍COSO內(nèi)控框架選定COSO內(nèi)控框架為評價(jià)框架！404測試思路內(nèi)部控制的定義：5個(gè)要素:參照美國注冊會(huì)計(jì)師協(xié)會(huì)審計(jì)標(biāo)準(zhǔn)AU44404測試思路COSO框架公司層面測試業(yè)務(wù)流程層面測試IT基礎(chǔ)層面測試“測試流程”（下一頁）404測試依據(jù)COSO框架（1992），分公司層面、業(yè)務(wù)層面和IT層面進(jìn)行測試，覆蓋COSO框架的五要素404測試思路COSO公司層面測試45流程圖設(shè)計(jì)測試內(nèi)容實(shí)施測試風(fēng)險(xiǎn)、控制矩陣穿行測試（制度設(shè)計(jì)測試）實(shí)質(zhì)性測試（制度執(zhí)行測試）評估報(bào)告內(nèi)控缺陷嚴(yán)重程度評估管理層關(guān)于財(cái)務(wù)報(bào)告內(nèi)部控制的評估報(bào)告審計(jì)師測試、審核獨(dú)立測試后，對管理層評估報(bào)告發(fā)表審核意見404小組（管理層）外部審計(jì)師404測試流程流程圖設(shè)計(jì)測試內(nèi)容實(shí)施測試風(fēng)險(xiǎn)、控制矩陣46公司層面和IT層面測試公司層面和IT層面測試公司層面測試根據(jù)COSO的控制框架，將相應(yīng)控制5要素分解成13個(gè)控制流程基本完成了公司層面的符合性測試和關(guān)鍵控制點(diǎn)的執(zhí)行有效性測試公司層面測試根據(jù)COSO的控制框架，將相應(yīng)控制5要素分解成148IT層面測試測試領(lǐng)域公司層面的IT控制、IT一般控制（包括開發(fā)、變更、運(yùn)行維護(hù)、訪問安全、電子表格計(jì)算）、IT應(yīng)用控制；控制點(diǎn)數(shù)量：1142關(guān)鍵對象

2套應(yīng)用系統(tǒng)（ORACLE、MAXIMO）、3套操作系統(tǒng)（Solaris\winNT\win2000server）、1套數(shù)據(jù)庫（ORACLE）以及安全管理體系（NOKIA防火墻、CISCO路由器）等測試頻率3輪設(shè)計(jì)有效性及執(zhí)行有效性測試文檔記錄包括各家機(jī)構(gòu)的測試策略、流程描述、RCM、TOC、缺陷清單、測試證據(jù)等。IT層面測試測試領(lǐng)域49SOX404業(yè)務(wù)流程層面測試SOX404業(yè)務(wù)流程層面測試實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)51內(nèi)部控制的定義：企業(yè)的董事會(huì)、管理層和其他有關(guān)人員為了能更有效達(dá)到企業(yè)目標(biāo)而設(shè)計(jì)的程序；企業(yè)目標(biāo)主要分為三類：運(yùn)營的效益財(cái)務(wù)報(bào)告的可靠性有關(guān)法律法規(guī)的符合性5個(gè)要素:控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督參照美國注冊會(huì)計(jì)師協(xié)會(huì)審計(jì)標(biāo)準(zhǔn)AU319,

內(nèi)部審計(jì)的定義(第十三段)404節(jié)要求之外的內(nèi)部審計(jì)由薩班斯法案404節(jié)引起的對內(nèi)部審計(jì)的關(guān)注合規(guī)性運(yùn)營財(cái)務(wù)報(bào)告職能機(jī)構(gòu)控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督薩班斯法案404節(jié)所關(guān)注的內(nèi)控范圍COSO內(nèi)控框架選定COSO內(nèi)控框架為評價(jià)框架！確定內(nèi)控框架內(nèi)部控制的定義：5個(gè)要素:參照美國注冊會(huì)計(jì)師協(xié)會(huì)審計(jì)標(biāo)準(zhǔn)AU52業(yè)務(wù)流程控制中海油內(nèi)控框架公司整體控制IT管理控制合規(guī)性運(yùn)營財(cái)務(wù)報(bào)告職能機(jī)構(gòu)控制環(huán)境風(fēng)險(xiǎn)評估控制行為信息與交流監(jiān)督COSO內(nèi)控框架結(jié)合COSO框架及公司內(nèi)控實(shí)際，建立中海油的內(nèi)控框架

財(cái)務(wù)部制度銷售部制度人力部制度預(yù)算規(guī)劃……404前確定內(nèi)控框架業(yè)務(wù)流程控制中海油內(nèi)控框架公司IT管理控制合規(guī)性運(yùn)營財(cái)務(wù)報(bào)告53實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)54關(guān)鍵科目關(guān)鍵流程財(cái)務(wù)報(bào)告重要地區(qū)金額(利潤5%)性質(zhì)重要總資產(chǎn)總收入稅前利潤重要流程20個(gè)子流程105個(gè)重要科目80項(xiàng)重要地區(qū)14個(gè)財(cái)務(wù)報(bào)表及附注按金額進(jìn)行判斷報(bào)告層面:RMB22億元(折2.8億美元）科目層面:RMB11億元(折1.4億美元）選定實(shí)施范圍通過“重要性水平”確定重要業(yè)務(wù)流程關(guān)鍵科目關(guān)鍵流程財(cái)務(wù)報(bào)告重要地區(qū)金額(利潤5%)總資產(chǎn)重要流55測試范圍：總資產(chǎn)的97%，收入的100%部分測試全面測試404范圍外選定實(shí)施范圍通過“重要性水平”確認(rèn)實(shí)施范圍和關(guān)注重點(diǎn)測試范圍：總資產(chǎn)的97%，收入的100%部分測試全面測試4056實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)57控制目標(biāo)應(yīng)付賬款的完整性風(fēng)險(xiǎn)交易漏記低估負(fù)債控制活動(dòng)（指引+實(shí)際）采購訂單連續(xù)編號發(fā)票暫估入帳測試方法抽樣檢查梳理和記錄流程以風(fēng)險(xiǎn)為導(dǎo)向結(jié)合現(xiàn)有的內(nèi)控，整理和記錄內(nèi)控文檔控制矩陣流程圖通過測試和流程負(fù)責(zé)人簽字確認(rèn)，保證記錄的有效性對照控制要求，評估是否存在內(nèi)控設(shè)計(jì)上的缺陷400多個(gè)風(fēng)險(xiǎn)點(diǎn)、150個(gè)流程、4325個(gè)控制點(diǎn)(2867個(gè)關(guān)鍵控制點(diǎn))的逐一進(jìn)行符合測試6次版本的更新和修定第一次形成了公司統(tǒng)一、可復(fù)制(包括海外)的風(fēng)險(xiǎn)控制模板控制目標(biāo)應(yīng)付賬款的完整性風(fēng)險(xiǎn)交易漏記控制活動(dòng)（指引+實(shí)際）采58SOX-404-實(shí)施介紹課件59風(fēng)險(xiǎn)、控制矩陣（RiskControlMatrix)流程名稱控制目標(biāo)風(fēng)險(xiǎn)因素實(shí)際控制測試結(jié)論HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.1公司《信用風(fēng)險(xiǎn)管理規(guī)定》對客戶及其信用管理做了規(guī)定，包括批準(zhǔn)新客戶、信用風(fēng)險(xiǎn)監(jiān)控和應(yīng)收款項(xiàng)跟蹤等的程序。有效HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.2資金融資部風(fēng)險(xiǎn)控制崗審查新增客戶的信用風(fēng)險(xiǎn)。有效HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.3公司CFO審批新增的非信用客戶名單。有效風(fēng)險(xiǎn)、控制矩陣（RiskControlMatrix)流程60實(shí)施方法與步驟確定內(nèi)控框架選定實(shí)施范圍梳理記錄流程控制有效性測試缺陷評價(jià)整改編制內(nèi)控報(bào)告實(shí)施方法與步驟確定內(nèi)選定實(shí)梳理記控制有缺陷評編制內(nèi)61選擇關(guān)鍵控制點(diǎn)編制測試步驟發(fā)現(xiàn)與溝通控制測試制定測試策略和方法缺陷評估及報(bào)告依據(jù)PCAOB2號審計(jì)準(zhǔn)則控制有效性測試制定缺陷整改辦法，明確相應(yīng)職責(zé)2867個(gè)關(guān)鍵點(diǎn)，40000多個(gè)樣本的抽取和測試選擇關(guān)編制測發(fā)現(xiàn)控制制定測試策略缺陷評依據(jù)PCAOB2號審計(jì)62測試的兩個(gè)階段關(guān)注執(zhí)行有效性關(guān)注設(shè)計(jì)有效性12關(guān)鍵控制點(diǎn)隨機(jī)選取一個(gè)樣本12符合性測試12實(shí)質(zhì)性測試開始結(jié)束控制點(diǎn)A控制點(diǎn)B流程關(guān)鍵控制點(diǎn)Ⅰ關(guān)鍵控制點(diǎn)Ⅱ關(guān)鍵控制點(diǎn)Ⅲ流程測試的兩個(gè)階段關(guān)注執(zhí)行有效性關(guān)注設(shè)計(jì)有效性12關(guān)鍵控制點(diǎn)隨機(jī)63流程圖流程圖64風(fēng)險(xiǎn)、控制矩陣（RiskControlMatrix)流程名稱控制目標(biāo)風(fēng)險(xiǎn)因素實(shí)際控制測試結(jié)論HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.1公司《信用風(fēng)險(xiǎn)管理規(guī)定》對客戶及其信用管理做了規(guī)定，包括批準(zhǔn)新客戶、信用風(fēng)險(xiǎn)監(jiān)控和應(yīng)收款項(xiàng)跟蹤等的程序。有效HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.2資金融資部風(fēng)險(xiǎn)控制崗審查新增客戶的信用風(fēng)險(xiǎn)。有效HQ_C1銷售管理確保銷售的客戶是可信任和有效的。銷售給虛假客戶或信用差的客戶。HQ_c1.1a.3公司CFO審批新增的非信用客戶名單。有效風(fēng)險(xiǎn)、控制矩陣（RiskControlMatrix)流程65穿行測試（Walkthrough）Location北京SignificantProcessHQ_C1銷售及應(yīng)收款項(xiàng)Sub-processHQ_C1.1A客戶數(shù)據(jù)庫與信用管理Sub-processOwner銷售部總經(jīng)理鄭保國資金融資部風(fēng)險(xiǎn)控制崗經(jīng)理劉俊俠資金融資部總經(jīng)理黃曉峰風(fēng)險(xiǎn)聯(lián)席會(huì)Soxteammember張曉鋒FlowchartreferenceHQ_C1.1A客戶數(shù)據(jù)庫與信用管理StartPoint銷售部原油崗與客戶確定購買意向EndPointCFO/風(fēng)險(xiǎn)聯(lián)席會(huì)根據(jù)權(quán)限審批超額度的信用交易TransactionDetails《信用風(fēng)險(xiǎn)管理規(guī)定》<HQ_C1.1a_101>銷售部新增客戶申請<HQ_C1.1a_102>資金部風(fēng)險(xiǎn)崗關(guān)于增加客戶的請示<HQ_C1.1a_103>風(fēng)險(xiǎn)聯(lián)席會(huì)會(huì)議紀(jì)要<HQ_C1.1a_104>資金部風(fēng)險(xiǎn)崗關(guān)于新加坡信用證的請示<HQ_C1.1a_105>客戶信用監(jiān)控明細(xì)表（客戶授信額度使用情況表）<HQ_C1.1a_106>客戶超額度報(bào)批郵件<HQ_C1.1a_107>Controlswalked-throughIndicatewhethercontrolisconsideredeffectiveorineffective.Describetheevidencesupportingtheassessmentmade.HQ_C1.1A.1有效公司《信用風(fēng)險(xiǎn)管理規(guī)定》對客戶及其信用管理做了規(guī)定，包括批準(zhǔn)新客戶、信用風(fēng)險(xiǎn)監(jiān)控和應(yīng)收款項(xiàng)跟蹤等的程序。<HQ_C1.1a_101>穿行測試（Walkthrough）Location北京Sig66實(shí)質(zhì)性測試－控制測試

（TestofControl)測試所需文檔：資金部增加客戶的請示（有審核客戶信用的描述，有CFO的審批痕跡）客戶信用監(jiān)控明細(xì)表抽樣方法：HQ_C1.1a.2新增原油客戶6個(gè)，抽取2個(gè)樣本測試步驟HQ_C1.1a.2詢問資金部風(fēng)險(xiǎn)控制崗對于新增客戶信用風(fēng)險(xiǎn)審查的具體內(nèi)容，并重新執(zhí)行測試結(jié)論(有效/待改進(jìn)）：HQ_C1.1a.2有效詳細(xì)測試記錄

新增客戶HQ_C1.1a.2

審查內(nèi)容

客戶財(cái)務(wù)指標(biāo)是否正常交易付款方式能否規(guī)避收款風(fēng)險(xiǎn)

中捷石化√√

廣西東油瀝青√√實(shí)質(zhì)性測試－控制測試

（TestofControl)測試67截止3月28日，管理層基于2006年財(cái)務(wù)報(bào)告內(nèi)控的報(bào)告已經(jīng)基本完成，在我們測試過程中沒有發(fā)現(xiàn)任何的實(shí)質(zhì)性漏洞。審計(jì)師也未發(fā)現(xiàn)任何的實(shí)質(zhì)性漏洞在測試中我們發(fā)現(xiàn)了2個(gè)重大缺陷，分別是：期權(quán)管理和海外財(cái)務(wù)管理。測度進(jìn)度及結(jié)果截止3月28日，管理層基于2006年財(cái)務(wù)報(bào)告內(nèi)控的報(bào)告已經(jīng)基68公司層面發(fā)現(xiàn)一般控制缺陷3個(gè)，我們已經(jīng)對這3個(gè)控制缺陷進(jìn)行評估，即這些缺陷未對財(cái)務(wù)報(bào)告造成重大影響。編號流程名控制點(diǎn)其中：關(guān)鍵控制點(diǎn)控制環(huán)境控制活動(dòng)風(fēng)險(xiǎn)評估信息與溝通監(jiān)督A員工行為守則126■■■□

1■B反舞弊程序93■■C人力資源程序222■■D風(fēng)險(xiǎn)識別、評估與管理71■E經(jīng)營計(jì)劃與經(jīng)營風(fēng)險(xiǎn)41■F內(nèi)部審計(jì)132■G董事會(huì)及審計(jì)委員會(huì)10■H管理層基調(diào)與態(tài)度71■■■I公司政策與流程52■J控制活動(dòng)92■■■K信息與溝通61■L財(cái)務(wù)風(fēng)險(xiǎn)評估223■■■MIT控制7410■■□

1■□

1■■合計(jì)20034■有效□缺陷

重大缺陷◆實(shí)質(zhì)性漏洞測度進(jìn)度及結(jié)果公司層面編號流程名控制點(diǎn)其中：控制控制風(fēng)險(xiǎn)信息監(jiān)督A員工行為69業(yè)務(wù)流程發(fā)現(xiàn)一般控制缺陷3個(gè)，重大缺陷2個(gè)。管理層已經(jīng)對這5個(gè)缺陷進(jìn)行評估，即所有缺陷未對財(cái)務(wù)報(bào)告造成實(shí)質(zhì)性影響。單位流程子流程風(fēng)險(xiǎn)點(diǎn)控制點(diǎn)符合性測試關(guān)鍵控制點(diǎn)TOC有效數(shù)目有效率實(shí)質(zhì)性漏洞重大缺陷缺陷總部188033076669342239338999%022天津1253194651616433297297100%000湛江1254199682644437342342100%000深圳1253186425394272206206100%000香港26173633252424100%000新加坡413325957414040100%000NWS22